Chameleon Mobile Malware
En ny form av Android-trojan kallad "kameleon" har upptäckts riktad mot användare i både Australien och Polen sedan början av 2023. Denna speciella skadliga programvara är utformad för att efterlikna legitima enheter som CoinSpots kryptovalutabörs, en australisk statlig myndighet, och IKO-banken.
Enligt cybersäkerhetsföretaget Cyble tros distributionen av denna mobila skadliga programvara ha skett genom olika kanaler. Dessa inkluderar komprometterade webbplatser, bilagor på den populära kommunikationsplattformen Discord och värdtjänster från Bitbucket. Dessutom har Chameleon Android-trojanen ett brett spektrum av skadliga funktioner, som omfattar stöld av användaruppgifter genom överlagringsinjektioner och tangentloggning, samt insamling av cookies och SMS-meddelanden från den komprometterade enheten.
Innehållsförteckning
Chameleon utför olika antidetekteringskontroller
Vid körning på den skadade Android-enheten använder Chameleon mobil skadlig programvara flera tekniker för att undvika upptäckt av säkerhetsprogramvara. Dessa taktiker inkluderar anti-emuleringskontroller för att avgöra om enheten är rotad och om felsökning har aktiverats. Om hotet upptäcker att det körs i en analytikermiljö kan det avbryta infektionsprocessen helt för att undvika upptäckt.
Om den fastställer att miljön är säker, fortsätter Chameleon med sin skadliga programmering och uppmanar offret att tillåta det att använda tillgänglighetstjänsten. Denna behörighet utnyttjas sedan av hotet för att ge sig själv ytterligare privilegier, stänga av Google Play Protect och förhindra offret från att avinstallera trojanen.
Angripare kan utföra olika hotfulla aktiviteter genom Chameleon Mobile Malware
När en anslutning upprättas med Command and Control-servern (C2) initierar Chameleon malware kommunikation genom att skicka enhetens version, modell, rotstatus, land och exakta plats. Detta tros vara ett försök att profilera den nya infektionen och skräddarsy dess aktiviteter därefter.
Därefter, beroende på vilken enhet som skadlig programvara utger sig, öppnar den en legitim URL i en WebView och påbörjar laddningen av skadliga moduler i bakgrunden. Dessa moduler inkluderar en cookie stealer, en keylogger, en phishing page injector, en låsskärms PIN/mönster grabber och en SMS stealer. Det senare är särskilt oroande eftersom det kan extrahera engångslösenord, vilket gör det möjligt för angriparna att kringgå tvåfaktorsautentiseringsskydd.
För att utföra sina datainsamlingsaktiviteter förlitar sig Chameleon malware på missbruk av tillgänglighetstjänster. Detta ger skadlig programvara möjlighet att övervaka skärminnehåll, upptäcka specifika händelser, ändra gränssnittselement och skicka nödvändiga API-anrop efter behov.
Chameleon Mobile Malware etablerar persistens på infekterade enheter
Förutom sina datainsamlingsaktiviteter utnyttjar Chameleon malware också tillgänglighetstjänsterna för att hindra borttagningen av den osäkra applikationen. Det åstadkommer detta genom att övervaka offrets avinstallationsförsök och ta bort de delade preferensvariabler som är associerade med skadlig programvara. Detta gör att det ser ut som om appen har avinstallerats när den faktiskt finns kvar på enheten.
Dessutom har cybersäkerhetsföretaget Cyble upptäckt kod inom Chameleon som gör det möjligt för den att ladda ner en nyttolast medan den körs och spara den på värdenheten som en ".jar"-fil. Den här filen är avsedd att köras senare via DexClassLoader. Den här funktionen verkar dock för närvarande inte användas av skadlig programvara.
